Eigentlich wollte Maikel Zweerink nur ein bisschen mit der Technik von WhatsApp herumspielen. Sagt er zumindest. Der 21-Jährige Niederländer ist Hacker, bastelt gerne und hat zwei Raspberry-Pi-Minicomputer jederzeit griffbereit in der Wohnung liegen. Mit ihnen programmierte er einen Bot, der die Daten des Messengers systematisch auswertet. Zweerink interessierte, wie viele Wörter Chat-Teilnehmer in einer Gruppe im Schnitt tippen, wie viele Links sie posten und zu welcher Zeit sie aktiv sind. Er hatte das schon einmal erfolgreich bei Google-Hangouts probiert, warum sollte es also nicht auch bei der Konkurrenz klappen? Doch dann passierte etwas, dass Zweerink komisch vorkam.
Die Privatsphäre-Einstellungen von WhatsApp funktionieren nicht.
„Obwohl meine Account-Einstellungen auf ‚Nobody’ gestellt waren, produzierte WhatsApp eine Meldung, sobald ich als User online ging“, sagt er. Schnell sei ihm klar geworden, dass die Privatsphäre-Einstellungen des Messengers offenbar nicht so funktionieren, wie sie sollen. Wenn ein User bei der Frage, wer seinen Online-Status sehen darf, das Häkchen bei „Nobody“ setzt, erscheint laut Zweerink in seinem Tool nach wie vor die Mitteilung „Online“.
Also fing der Hacker an, zu experimentieren, betrachtete erst nur User-Profile von eigenen Kontakten, dann auch von völlig fremden Nummern. Schnell konnte er nachvollziehen, wann ein Kontakt online war und wann nicht. „Ich habe eine Datenbank zusammengestellt und eine einfache Benutzeroberfläche mit dem Raspberry Pi programmiert“, erzählt er.
Diese Woche veröffentlichte der Hacker dann das Ergebnis: WhatsSpy Public. Für ihn ist das Tool aber kein „Hack“ sondern eine „Machbarkeitsstudie“. Die soll zeigen, dass „WhatsApp in Bezug auf seine Privateinstellungen nicht funktioniert“. Trotzdem ist Zweerinks Tool voll funktionsfähig und erlaubt es, das Online-Verhalten jedes WhatsApp-Nutzers zu tracken. Sind die eigenen Einstellungen in der nicht auf „Privat“ gestellt, können sogar Profil-Bilder, Einstellungen und Statusangaben ausgelesen werden.
In der Vergangenheit hatte WhatsApp immer wieder Probleme mit der Datensicherheit seiner Nutzer. Vor allem beim Thema Verschlüsselung hinkte der Dienst lange hinterher. Im November vergangenen Jahres überraschte die Firma jedoch ihre Kritiker, indem sie ihren 600 Millionen Usern eine Ende-Zu-Ende Verschlüsselung anbot. Zweerinks „Machbarkleitsstudie“ ist seitdem der erste Hack, der neue Sicherheitsprobleme mit dem Messenger in die Öffentlichkeit rückt. Auf eine Anfrage von Business Insider nach einer Stellungnahme zu der Sicherheitslücke reagierte WhatsApp bisher nicht.
„Mit etwas gesundem Menschenverstand kann ich nachvollziehen, wann jemand aufwacht, wann er ins Bett geht oder sich abends mit Freunden trifft“, fasst Zweerink die Fähigkeiten seines Tools zusammen. „Stell dir vor, jemand völlig fremdes kann jederzeit tracken, wann du WhatsApp benutzt.“ Die App sei fünf Jahre alt, es sei kaum vorstellbar, dass bisher noch niemand diese Sicherheitslücke ausgenutzt habe.
